WordPress 2015年5月_脆弱性集計  2015/6/9
2015年5月度のWordPressに関する脆弱性レポートをお知らせします。

5月度全体の脆弱性報告件数としては69件でした。4月度より84件減少しております。
個所別レポート
個所別の発生件数は、それぞれ本体で1件、テーマも4件、プラグインが64件でした。

内容としては圧倒的にプラグインが多く、脆弱性に気を配る必要があることがわかります。

また、今月も先月と同様に本体に脆弱性が発生しました。プラグインの数は先月と比べて減少しております。
テーマに関しましても先月と同様に脆弱性情報が複数発生しました。

トピックス
本体に1件脆弱性が発生しました。バージョン4.2にXSSが発生し、対策版であるバージョン4.2.2がリリースされました。ブログでも書かせていた頂いておりますので併せてご覧ください。
(タイトル:WordPress、バージョン4.2.2へ緊急セキュリティアップデート実施)
(※2015年6月9日時点での最新バージョンも4.2.2となっております)

テーマに関しましても4件の脆弱性が発見されております。内容はXSSや情報漏えいに関する脆弱性です。

プラグインに関しましては、ブログでも速報を書かせて頂きました通り、30万ダウンロード以上されている超有名なWordPressの「関連のある記事」を表示させる『Yet Another Related Posts Plugin (YARPP)』にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年6月9日時点での最新バージョンは4.2.5となっております)

他には、こちらもブログでも速報を書かせて頂きました通り、10万ダウンロード以上されているセキュリティプラグイン『Anti-Malware and Brute-Force Security by ELI』にクロスサイトスクリプティング(XSS)の脆弱性が発生しております。お使いの方は、バージョンの確認をすることを推奨します。

脆弱性はすでにアップデートによって修正済みで、最新版の適用で塞ぐことができます。
(※2015年6月9日時点での最新バージョンは4.15.26となっております)

その他ご利用中の方が多い以下の人気プラグインにおいて脆弱性が発見されたため旧バージョンをご利用中の方は最新のプラグインにアップデートされることをお勧めいたします。

WP Photo Album Plus PluginにてSQLインジェクションとXSS 2件
XCloner – Backup and Restore PluginにてXSSとCE 2件
Contact Form to Email PluginにてCSRFとXSS 2件
My Calendar Pluginにてファイルの上書き 1件

内容別レポート
脆弱性の内容別発生件数は、1位がXSSで25件、2位がSQLインジェクションで16件、3位がCSRFで10件でした。

トピックス
4月度と比較して、脆弱性の総数が減少したことに合わせてXSS、SQLインジェクションとCSRFが軒並み減少しました。その中でもXSSは大きく減少しております。

この一要因としては4月下旬に発生したWordPressの関数を不適切に利用していることに起因する脆弱性が、一気に多数のプラグインに発見されており、そういった原因が5月に発生しなかったことだと推測できます。
脆弱性一覧
2015年5月の脆弱性一覧をまとめましたのでご参照ください。

以下リストに掲載されている本体バージョン、テーマ、プラグインがある方は、一度診断されることをお勧めいたします。脆弱性分類ですが、掲載時点の内容の為、ご確認いただく時点で「不特定の欠陥」が特定されている可能性もございますので、それも注意深くご確認いただくことをお勧めします。

また、バージョンに関しましては、脆弱性情報が発見されたものを記載しておりますが、そのバージョン未満でも同様の脆弱性が発生している可能性がある為、最新版に更新することをお勧めしております。但し、最新版でも脆弱性内容が修正されていないプラグインも少なからず存在しておりますので、対策されていないプラグインをご利用の方は、ご利用を控えるか、別の同様のプラグインに変更されることをお勧めします。

表:2015年5月度脆弱性一覧

発見個所
脆弱性分類
脆弱性のある本体・プラグイン・テーマの名称
発見されたVer.
発見日

プラグイン
XSS
Easy Property Listings Plugin
2.1.5
2015/5/1

プラグイン
XSS
Gravity Forms DPS PxPay Plugin
1..4.2
2015/5/1

テーマ
XSS
Weekly News Theme

2015/5/3

プラグイン
XSS
SendinBlue Subscribe Form And WP SMTP Plugin
2.3.13
2015/5/4

プラグイン
SQLインジェクション
Pie Register Plugin
2.0.15
2015/5/4

プラグイン
認証バイパスの要求処理
Pie Register Plugin
2.0.15
2015/5/4

プラグイン
SQLインジェクション
Simple Photo Gallery Plugin
1.7.9
2015/5/5

プラグイン
SQLインジェクション
Simple Photo Gallery Plugin
1.7.9
2015/5/5

プラグイン
SQLインジェクション
Simple Photo Gallery Plugin
1.7.9
2015/5/5

プラグイン
SQLインジェクション
Simple Photo Gallery Plugin
1.7.9
2015/5/5

プラグイン
SQLインジェクション
Simple Photo Gallery Plugin
1.7.9
2015/5/5

プラグイン
不特定の欠陥
WP Ultimate CSV Importer Plugin

2015/5/5

プラグイン
XSS
Simplr Registration Form Plus Plugin
1.3.3
2015/5/6

プラグイン
XSS
Simplr Registration Form Plus Plugin
1.3.3
2015/5/6

プラグイン
SQLインジェクション
Freshmail Plugin
1.4
2015/5/6

プラグイン
SQLインジェクション
Freshmail Plugin
1.4
2015/5/6

テーマ
XSS
Genericons

2015/5/6

プラグイン
SQLインジェクション
WP Photo Album Plus Plugin

2015/5/7

プラグイン
SQLインジェクション
Blubrry PowerPress Podcasting Plugin
6.0.2
2015/5/7

プラグイン
CSRF
Yet Another Related Posts Plugin

2015/5/7

プラグイン
CSRF
Ad Buttons Plugin

2015/5/7

プラグイン
CSRF
ClickBank Affiliate Ads Plugin

2015/5/7

プラグイン
CSRF
Ad Inserter Plugin

2015/5/7

プラグイン
CSRF
Embed-Articles Plugin

2015/5/7

本体
XSS
WordPress
4.2
2015/5/7

プラグイン
SQLインジェクション
Amazon Product in a Post Plugin

2015/5/8

プラグイン
XSS
Anti-Malware and Brute-Force Security by ELI Plugin

2015/5/8

プラグイン
XSS
Front End PM Plugin

2015/5/9

プラグイン
XSS
My Calendar Plugin

2015/5/11

プラグイン
リモートでのファイルの上書き
My Calendar Plugin

2015/5/11

プラグイン
CSRF
Inline Google Spreadsheet Viewer Plugin

2015/5/11

プラグイン
複数のアクション呼び出し
Media File Manager Advanced Plugin

2015/5/13

プラグイン
不特定の欠陥
WP Symposium Plugin

2015/5/13

プラグイン
XSS
Post Lists View Custom Plugin
1.7.1
2015/5/13

プラグイン
XSS
Media File Manager Advanced Plugin

2015/5/13

プラグイン
SQLインジェクション
Media File Manager Advanced Plugin

2015/5/13

プラグイン
複数のアクション呼び出し
Media File Manager Advanced Plugin

2015/5/13

プラグイン
不特定の欠陥
WP First Letter Avatar Plugin
1.2.7
2015/5/14

プラグイン
SQLインジェクション
FeedWordPress Plugin

2015/5/14

プラグイン
XSS
WP Fast Cache Plugin

2015/5/14

プラグイン
CSRF
Contact Form to Email Plugin
1.1.4
2015/5/14

プラグイン
XSS
Contact Form to Email Plugin
1.1.4
2015/5/14

プラグイン
XSS
Ditty News Ticker Plugin
1.5.1
2015/5/15

プラグイン
CSRF
Pinterest Hover Pin It Button Plugin
0.9
2015/5/17

プラグイン
バックアップファイル漏えい
Acunetix WP Security Plugin

2015/5/18

テーマ
リモート情報漏えい
Multiple ThemeMakers themes

2015/5/18

プラグイン
バックアップファイル漏えい
Snapshot Pro Plugin

2015/5/18

プラグイン
バックアップファイル漏えい
Backupbuddy Plugin

2015/5/18

プラグイン
XSS
Anti-Malware and Brute-Force Security by ELI Plugin

2015/5/18

プラグイン
パストラバーサル
Simple Backup Plugin

2015/5/19

プラグイン
SQLインジェクション
GigPress Plugin
2.3.8
2015/5/20

プラグイン
CSRF
wow-moodboard-lite Plugin

2015/5/20

プラグイン
XSS
WP Membership Plugin

2015/5/21

プラグイン
リモート特権昇格
WP Membership Plugin

2015/5/21

プラグイン
XSS
WP Membership Plugin

2015/5/21

プラグイン
リモートモデレーションバイパス
WP Membership Plugin

2015/5/21

プラグイン
XSS
WP Photo Album Plus plugin
6.1.2
2015/5/21

プラグイン
メールページの無保護
Video Gallery plugin
2.8
2015/5/22

テーマ
ファイル漏えい
Estrutura-Basica themes

2015/5/25

プラグイン
RCE
MailChimp Subscribe Forms plugin
1.1
2015/5/25

プラグイン
XSS
Church Admin plugin
0.800
2015/5/25

プラグイン
XSS
NewStatPress plugin
0.9.8
2015/5/25

プラグイン
SQLインジェクション
NewStatPress plugin
0.9.8
2015/5/25

プラグイン
SQLインジェクション
Landing Pages plugin
1.8.4
2015/5/25

プラグイン
XSS
Landing Pages plugin
1.8.4
2015/5/25

プラグイン
CSRF
WP Fast Cache Plugin
1.4
2015/5/27

プラグイン
XSS
Free Counter plugin
1.1
2015/5/27

プラグイン
コマンド実行
XCloner plugin
3.1.2
2015/5/31

プラグイン
XSS
XCloner plugin
3.1.2
2015/5/31

https://wp.kyubi.jp/